THORChain démantèle des arnaques à la récupération de fonds grâce à Chainalysis tracles portefeuilles des attaquants dans une faille de sécurité de 10 millions de dollars

THORChain a publié une déclaration sur X le 16 mai, demandant aux utilisateurs d'ignorer les informations concernant un programme de récupération mis en place suite à l'exploit qui a permis de dérober environ 10 millions de dollars en actifs cryptographiques.

Le jour même où THORChain clarifie la situation concernant la désinformation qui circule, la société d'analyse de la blockchain Chainalysis publie des preuves sur la chaîne reliant les attaquants à des portefeuilles qui ont été approvisionnés des semaines avant l'exécution du vol.

THORChain a écrit: « Nous avons constaté la circulation de nombreux faux comptes et de fausses informations concernant des "remboursements", des "airdrops", des demandes d'indemnisation et d'autres initiatives présumées. »

La plateforme d'échange décentralisée spécialisée dans Bitcoina déclaré que, d'après ses premières constatations, aucun fonds utilisateur n'a été perdu suite à cette faille de sécurité. Elle a également précisé qu'elle ne propose actuellement aucun remboursement, airdrop ou programme de compensation.

Elle a appelé les utilisateurs à ignorer tout compte prétendant le contraire ou usurpant l'identité de THORChain.  

La faille de sécurité à 10 millions de dollars qui a secoué ThorChain

La société de sécurité PeckShield estime les fonds volés à ThorChain à environ 10 millions de dollars, dont 36,75 BTC (environ 3 millions de dollars) et approximativement 7 millions de dollars d'actifs provenant d' Ethereum, BNB Chain et de Base. Les Bitcoin ont été transférés vers un seul portefeuille, tandis que plus de 3 156 ETH ont atterri sur une adresse distincte, tracpar Arkham Intelligence, d'après un article précédent de Cryptopolitan.

Le 15 mai, THORChain a déclaré que « les preuves actuelles pointent vers un nœud nouvellement créé et lié à l'attaque, probablement exploité par un seul acteur malveillant ».

Elle a déclaré qu'elle enquêtait toujours sur cette faille, mais a ajouté que sa principale théorie quant à son origine était une faille dans l'implémentation GG20 TSS, permettant à des éléments clés du coffre-fort de « fuiter au fil du temps »

Le réseau est actuellement suspendu après que plusieurs opérateurs de nœuds ont exécuté la commande « make pause », mais il a indiqué qu'il travaillait actuellement sur un plan de redémarrage.

Pour l'instant, la plateforme ne s'est pas engagée sur un plan de reprise ; toutefois, elle a indiqué que toutes les décisions relatives à la reprise nécessiteront probablement des décisions de gouvernance des nœuds concernant la manière de gérer les pertes.

de THORChain, Le jeton natif a depuis chuté de plus de 21 % suite à cet événement, s'échangeant autour de 0,42 $ au 16 mai.

Chainalysis relie l'attaquant à des portefeuilles préconfigurés

Chainalysis a publié le 16 mai sur X une série de cinq articles détaillant plusieurs semaines d'activités préparatoires sur la blockchain menées par des portefeuilles liés à l'attaquant. L'entreprise a indiqué que ces portefeuilles avaient transféré des fonds via Monero, Hyperliquid et THORChain avant de commettre le vol.

Fin avril, un portefeuille de ce type a déposé des XMR via un pont de confidentialité Hyperliquid-Monero, a échangé la position résultante contre de l'USDC, a retiré vers Arbitrum et a établi un pont vers Ethereum, a déclaré Chainalysis.

L'ETH transféré a ensuite été divisé en quatre branches. L'une d'elles était directement connectée au portefeuille destinataire de l'attaquant : un intermédiaire y a transféré 8 ETH seulement 43 minutes avant l'arrivée des fonds volés, selon l'analyse de la société.

Les contributeurs de THORChain ont indiqué dans une mise à jour Discord que les éléments de preuve actuels pointent vers un nœud récemment créé et lié à l'attaque, probablement exploité par un seul acteur malveillant. La principale hypothèse repose sur une vulnérabilité du schéma de signature GG20, d'après la mise à jour d'dent du protocole publiée sur X.

Cette faille s'ajoute à une série d'dentde sécurité DeFi survenus en mai 2026. Cryptopolitan a déjà signalé des failles chez Transit Finance (perte d'environ 1,88 million de dollars), ainsi que chez Huma Finance (perte d'environ 101 400 dollars) et Ink Finance (perte d'environ 140 000 dollars) plus tôt dans le mois, toutes deux ciblant destracintelligents sur Polygon.